为什么首席信息安全官很少升迁为首席信息官？

任首席信息安全官（CISO）一职的人很少最后会晋升为首席信息官（CIO），按道理CISO升CIO似乎顺理成章。CISO历史上归CIO管，由于各种威胁因素的大幅增加，CISO角色的重要性也大大提高了。而且，由于安全问题已经成了董事会关注的东西，CISO经常要在去董事会和管理团队会议上发言，这一方面显示了CISO的重要性，同时也可以提升CISO的形象。

那么为什么CISO升迁CIO之路并不平坦呢？首先，CIO必须聚焦创新，也就是引入风险因素，而CISO的职责却是管理或降低风险。当然这并不是说CISO就不能为公司进行重大创新，但CISO要聚焦风险管理，这肯定会成为限制CISO升迁的一个因素。此外，与其他与信息科技相关的职位角色相比，安全这个角色也相对孤立一些，而且信息科技部门缺乏领导角色也可以视为另一个限制因素。

CISO也有其正面因素，安全性的重要性在日益增加，公司爆出安全漏洞的案例越来越多，CISO在许多公司里已经和CIO平起平坐了。

礼来公司（Eli Lilly）前首席信息安全官Wafaa Mamilli现在是Zoetis的首席信息数字官（图：Zoetis）

CISO升迁为CIO的一个例子是Wafaa Mamilli，她现在是全球最大的动物保健公司Zoetis Inc.的执行副总裁兼首席信息数字官。Wafaa Mamilli曾任礼来公司全球CISO一职三年，2016年2月被提升为礼来公司业务部全球首席信息官。

Jason Ruger兼任联想首席信息安全官及联想摩托罗拉业务部首席信息官。（图由Jason Ruger提供）

Jason Ruger是另一个例子，他既是联想的全球CISO也是联想摩托罗拉业务部门的CIO。

记者想知道Mamilli是如何从CISO升为CIO的，Mamilli称聚焦使能业务策略是关键点。她表示，“我在我的整个职业生涯里，不管担任什么职务都始终确保我的角色融合在业务策略和结果里。这样做同时令我在业务和技术领域不断学习。几个领域的交汇处会发生神奇的事。”

她说她的CISO角色带点“幸福的意外”味道，不过她很高兴自己担任过这个职位。她表示，“我当时完全没有信息安全方面的经验，公司要我负责。我知道这是因为我了解业务，也在全球各种职位和技术部门有好的声誉。” 她认为CISO的角色对她来说是极好的学习机会，陡峭的学习曲线和丰富的经验为她准备好了承担现在的广泛职责。

Jason Ruger身兼双职，他必须平衡两个角色，一方面，CIO希望从尽可能多的不同来源收集信息建立见解，另一方面，CISO的责任是将不同的来源分开处理，避免将多个数据源放在一起的视图，因为如果这样做的话会导致横向动作及增加风险。Ruger表示，“我们的数据越多，再加上客户从隐私角度出发选择与我们共享的数据越多，为公司带来的责任就越大。从CIO的角度来看，客户与我们共享的数据越多，或者出于质量的角度需要确切知道是什么机器将特定零件焊接到哪些设备上而从生产线收集的数据越多，我作为首席信息官就可以更好地为公司做出决策。”

Mamilli认为，CISO角色始终需要将业务放在思考过程的中心。她表示，“要在安全性与便利性之间取得平衡，同时还要以适当的步伐实现相关的创新，这几点对一名CISO高管来说都很重要，CISO给的答案不能老是否定，有时的答案应该是肯定。”Mamilli在做目前职位的工作时借鉴了曾经主导她的职责的思维过程。她表示，“我在目前的CIDO的职位上对技术风险有了更深的体会，对安全性设计实现的体会也更深了，也更深地体会到要提高团队技能真正使安全性和风险管理成为每个人的工作。”

Ruger发现担任双重角色有助于他更好地理解一些双重需要，一方面要从网络安全角度定位最重要的业务，另一方面也要从投资的角度定位最重要的业务。他还发现，同时担任这两个角色有助于他更好地从CISO的角度理解CIO，CIO从成本角度对系统进行优先排序的方向是相反的。他表示，“我身为首席信息官，能了解首席信息安全官给首席信息官的压力。首席信息官通常要承受很大的成本压力。我们通常将本地计算和云计算混合在一起。这种系统该打补丁时有时不能及时打补丁。我们无法挑个时间停机，我们没资源等等。而从CISO的角度又有助于我了解CIO的视角，能了解CIO如何确定需要打补丁系统的优先级。我们需要确定哪些进行监视和层的优先级，我们不能同等对待所有数据。”

Mamilli认为，更多任职 CIO的人应该去做一做CISO，因为CISO技能是一项关键技能，不会很快消失。她表示，“我现在坚信，任何负责技术和数字技术的首席级高管职位都必须具有安全和风险管理敏锐度。这种敏锐度可以通过轮任各种职位获取。我强烈建议那些想成为CIO、CIDO的人在职业生涯计划里包括安全角色一项。”